第二章 背景與相關研究
2.2 相關研究
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
25
底下是聯徵中心與各國提供的服務差異:
圖 2.8 各國聯徵中心服務比較圖
資料來源:”金融業跨業合作之大數據應用與商業智慧創新”,胡富雄, 2015, Page 18
2.2 相關研究
2017 年英國 FinTech 網路與 BNY Mellon 和 Rabobank 合作發布了白皮書,概述 了銀行業中使用區塊鏈技術的四個案例,包含:減少詐騙,了解您的客戶(KYC)
程序,交易平台以及付款是未來應用於銀行的四個關鍵方式。
2016 年金管會所發布的”金融科技發展策略白皮書”,裡面提到長期應研議 建立身分識別服務中心,由公正專業之第三方機構,提供各類身分識別工具與識 別機制之服務,以 API 介接內政部自然人憑證管理中心、臺灣網路認證憑證中 心、各金融機構、及其他可提供身分識別資料之諮詢單位,並協助發展各式身分
‧
(CIBC) 、ING 集團、義大利聯合聖保羅銀行(Intesa Sanpaolo)、法國外貿銀 行(Natixis)、北歐聯合銀行(Nordea)、北美信託公司(Northern Trust)、法國 興業銀行(Société Générale)、瑞銀(UBS)和美國銀行(US Bank)參加了本個 項目。只是,相關的架構和做法,在媒體上並沒有紕漏闡述太多。
2016 年 11 月,在新加坡金融科技節中,IBM 宣布和該國金融科技初創公司 KYCK!合作推出一個基於 IBM 區塊鏈的 KYC 項目,旨在節省金融服務供應商 的時間和成本,讓他們能在一個絕對安全的環境中快速了解並記錄客戶需求。
KYCK!將和 IBM 新加坡 Bluemix Garage 合作設計和測試一個新的解決方案。該 方案基於超級帳本 Fabric,旨在確保私有分布式帳簿中信息的不可更改性、可追 蹤性及隱私性。但同樣的,相關內部訊息並沒有說明太多,在 KYCK 網站上,
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
27
也沒有公布太多的資訊。
2017 年 6 月,印度的“銀行鏈”聯盟推出了區塊鏈 KYC 系統。這項名為
“ClearChain”的項目是由銀行鏈(BankChain)聯盟領頭,該聯盟於今年 2 月創 立,得到了印度國家銀行(SBI)和印度工業信貸投資銀行(ICICI Bank)等機 構的支持。該團隊與一家位於孟買的初創公司 Primechain Technologies 聯手,並 且與 IBM 和微軟(Microsoft)在軟件方面達成合作。據印度時報(Times of India)
報道,ClearChain 系統允許客戶信息交換,包括關於電子轉賬和調查報告的數據,
以及可疑活動報告(SARs)。
另外,SWIFT 早在 2014 年 12 月,推出了 KYC registry 服務。其服務內容 是:銀行提供一套基本數據協議和文件組合,由 SWIFT 核實後,該銀行可與其 交易對手分享數據。每家銀行保留其數據的擁有權,以及哪些機構可以查閱數據 的控制權。SWIFT 行政總裁表示:「遵守監管規則造成了銀行巨大的成本負擔, 因此銀行正積極尋找共享平台,共同承擔成本、減低風險。KYC 登記服務是我們 對金融犯罪合規工作中最重要的一項工作,其兌現了我們為業界提供解決方案的 承諾。」雖然,SWIFT 的 KYC Registry 服務並未使用區塊鏈做為底層的開發平 台,但某種程度而言,它展示了一種可能性,做為中立信息的供應商,是可以提 供一套可簡單安全地收取及分享 KYC 數據,免除高成本及多餘的文件交換過 程。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
28
圖 2.9 SWIFT KYC registry 服務優點示意圖
資料來源:” SWIFT Compliance Services” by Julien Laurent, 2014, page 5
而在一些學術文件上,也可以看到有一些論文已經開始在透過區塊鏈進行 KYC 平台的概念驗證及討論。Djuri Baars(2016)在”Towards Self-Sovereign Identity using Blockchain Technolog”文章裏面,有一個 Case Study:”KYC on Blockchain”。
裡面提出一個 POC 的系統架構如下圖:
圖 2.10 KYC on Blockchain high level architecture
資料來源:” Towards Self-Sovereign Identity using Blockchain Technolog” by Djuri Baars, 2016, page 38
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
29
其 中 Djuri Baars 所 提 出 的 架 構 由 三 個 部 分 組 成 : Blockchain, Server Application, Customer smartphone application.整個 KYC 的交易都透過 smartphone 來 進 行 文 件 的 申 請 和 上 傳 , application server 會 連 結 到 銀 行 後 端 的 系 統 , blockchain(POC 環境是跑在 bitcoin testnet 上)中存放使用者的共識資訊(consent) 和資料簽章(Integrity value,每個使用者有自己的 Private Key,存放在 smartphone 裡面)。KYC 資訊的共享都是透過 smartphone 上的 application 向 Server application 進行交換已經認證過的申請文件檔案(檔案透過區塊鏈來確認沒有被異動)。
這份概念性的研究簡化了整個 KYC 流程,只說明了透過 smartphone 進行第 一次 onboard 和如何透過 smartphone share KYC 文件的步驟。這份論文中使用者 的手機需要保留申請的 KYC 文件資料來傳送給第二家銀行時到區塊鏈確認是否 有通過驗證,以及使用者的公私鑰需要保留在手機上進行資料加密簽章這件事情,
我認為由於手機常常會遺失或重新安裝,資料無法進行長時間的保存,實務上並 不可行,但論文提到資料各銀行自行存放的私密性及區塊鏈中僅存放 KYC 文件 的簽章資訊的概念的確值得借鏡。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
30
Jos´e Parra-Moyano 和 Omri Ross(2017)在他們的論文”KYC Optimization Using Distributed Ledger Technology”中,也展示了他們提出的 KYC 架構如下圖:
圖 2.11 Design of the KYC solution
資料來源:” KYC Optimization Using Distributed Ledger Technology” by Jos´e Parra-Moyano and Omri Ross,2017,page 17
此平台是跑在 ethereum 的私有鏈上,由國家法規單位(Regulator)維護一個集 中式的資料庫(Permissioned Database)和整個區塊鏈網路,除了有開戶的銀行會存 放一份客戶 KYC 資料外(Local Database),也會存放一份在此集中資料庫中。這
‧
database 以及監理單位的 permissioned database。另外,此架構每個客戶有設計一 個額外的 contract(稱為 list of onboarding instituions)記錄所有使用到此客戶 KYC 資訊的銀行清單帳戶資訊,除原開戶銀行外(home bank),有分攤費用的銀行才能 寫入到此清單中,若其他銀行要使用此客戶的 KYC 資料時,也需分攤費用到這 些銀行帳戶)。爾後,客戶在不同銀行開戶時必須額外進行授權銀行(提供 access key)來存取集中資料庫的資訊,各銀行透過監理單位認同的虛擬貨幣付費給其他 銀行後,登錄到 onboarding list 後,即可到 permissioned database 提取客戶資料,並儲存到銀行的私有資料庫中。
在這份論文中,集中/分散資料庫並存、強迫使用銀行分攤 KYC 驗證費用的 概念(onboarding list),以及每個客戶在區塊鏈中保有各自 contract 紀錄 KYC 文件 Hash 和驗證是否通過的機制都很有參考的價值。但是,下述三點是我覺得此系 統設計並不理想的地方:第一:考量台灣實際的使用情境,各銀行互不信任,由 政府或第三方來集中存放所有銀行的客戶 KYC 資料,在安全的考量上有很大的 疑慮,萬一此集中式的資料庫系統被入侵或是資料毀損,恐怕各銀行無法接受。
第二:此份論文中只提到第一次 KYC 資料的登錄,且僅針對整份文件進行 Hash,
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
32
並未提及之後需要的資料異動、或是資料的刪除要如何進行,且各銀行間如何的 被通知資料異動和資料同步也未被討論,在使用行為的考慮上並不完整。第三:
使用者需要留存 KYC 文件的 access key 來授權給其他銀行,若使用者有使用非 常多的金融服務,在不同銀行間一定會有很多的 KYC 文件的 access key,如何的 保管和提供這些金鑰,論文中並未提及,若透過系統來做來又需要一套額外的集 中式系統來保管所有使用者的帳號,這又造成一個單點失效的安全疑慮。
上述的相關問題,都是本研究要解決的疑慮。
‧
用區塊鏈,由第三方的系統來做為資訊交換的中心(如:SWIFT KYC registry),第二種是透過區塊鏈存放 KYC 文件的 HASH 資訊和是否通過 KYC 驗證狀態,
第二種類別的問題是,如同在分析 Jos´e Parra-Moyano 和 Omri Ross(2017) 的論文時的說明,各銀行互不信任,集中資料庫存放所有銀行的客戶 KYC 資料,